Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline sanyo  
#1 Оставлено : 20 июля 2020 г. 11:06:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Добрый день,

Пожалуйста, посоветуйте, какие считыватели с интегрированной на них цифровой клавиатурой могут работать в паре с КриптоПро 5 для подтверждения транзакций плоских смарт карт Рутокен ЭЦП 2.0 ?

Такие:

https://cryptostore.ru/search/?q=spe&s=

не подойдут?

КриптоПро вообще поддерживает считыватели с SPE (Secure PIN Entry) ?

Отредактировано пользователем 20 июля 2020 г. 11:08:36(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#2 Оставлено : 20 июля 2020 г. 11:41:37(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 591
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 110 раз в 97 постах
Автор: sanyo Перейти к цитате
Добрый день,

Пожалуйста, посоветуйте, какие считыватели с интегрированной на них цифровой клавиатурой могут работать в паре с КриптоПро 5 для подтверждения транзакций плоских смарт карт Рутокен ЭЦП 2.0 ?

Такие:

https://cryptostore.ru/search/?q=spe&s=

не подойдут?

КриптоПро вообще поддерживает считыватели с SPE (Secure PIN Entry) ?


Добрый день.
Нет, не поддерживаем. Более того, весьма вероятно, что и сами карты Рутокен ЭЦП с данными считывателями не совместимы.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#3 Оставлено : 20 июля 2020 г. 18:15:33(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Может быть, тогда хотя бы вот эти:

https://www.usmartcards....bridge-ct700-reader.html

https://www.aladdin-rd.r...log/antifraud#specialist

считыватели вы поддерживаете?

Если опять нет, то предложите тогда свои варианты поддерживаемых считывателей хотя бы с одной кнопкой авторизации.

Еще одно обсуждение на форуме Рутокен:
http://forum.rutoken.ru/topic/3209/

https://www.windows-soft...minal-po-dostupnoy-tsene

Цитата:
Основными областями применения "Антифрод-терминала" являются:

защита систем электронного документооборота и электронных сервисов от атак киберпреступников, направленных на подписание поддельных документов на ключах ЭП легального пользователя и последующее навязывание этих документов системе или сервису.


Рутокеновцы рекомендуют:
https://safe-tech.ru/wp-...019/09/safetouch-pro.pdf

Цитата:
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.
Можем предложить попробовать использовать SafeTouch PRO(https://safe-tech.ru/safetouch-pro/), данное устройство работает с Рутокен и PKCS#11.


Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Какие еще варианты, неужели всего один на всю страну?

Отредактировано пользователем 20 июля 2020 г. 18:33:17(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#4 Оставлено : 21 июля 2020 г. 11:43:17(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 591
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 110 раз в 97 постах
Автор: sanyo Перейти к цитате
https://www.usmartcards.com/gemalto-id-bridge-ct700-reader.html

Тот же ответ, что ранее - скорее всего, даже карта не поддерживает его.

Насколько я вижу, это не считыватель, а пинпад со встроенным журналом.

Автор: sanyo Перейти к цитате
Если опять нет, то предложите тогда свои варианты поддерживаемых считывателей хотя бы с одной кнопкой авторизации.

Точно работают и поддерживаются нами:
- Safetech SafeTouch: https://safe-tech.ru/safetouch-pro/
- Актив Рутокен ПинПад: https://www.rutoken.ru/p...ucts/all/rutoken-pinpad/

Автор: sanyo Перейти к цитате
Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Да, будет. Вы уверены, что в этой связке нужен PKCS#11? CSP напрямую работает с SafeTouch, который напрямую работает с картой. Если ваша система требует PKCS#11, то можно использовать наш модуль, но для базовых задач это чаще всего избыточно.
Автор: sanyo Перейти к цитате
Какие еще варианты, неужели всего один на всю страну?

К сожалению, да, если не считать Рутокен ПинПад. Производителям не очень интересно тратить ресурсы на поддержку того, что не имеет спроса.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline sanyo  
#5 Оставлено : 22 июля 2020 г. 9:06:24(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Насколько я вижу, это не считыватель, а пинпад со встроенным журналом.


Судя по:
https://zlonov.ru/catalo...0%b0%d0%bb-digipass-920/
это все же картридер,

Цитата:
Нотификация на ввоз Антифрод-терминал / DIGIPASS 920

Наименование товара: Карт-ридер с дисплеем и клавиатурой c функциями шифрования (PinPad-терминал) DIGIPASS 920 xxx, где xxx – номер версии прошивки, не влияющий на криптографические характеристики товара
Номер нотификации: RU0000013396


Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Точно будет работать с плоской картой Рутокен ЭЦП2 + КриптоПРО 5 по PKCS 11?

Да, будет. Вы уверены, что в этой связке нужен PKCS#11? CSP напрямую работает с SafeTouch, который напрямую работает с картой. Если ваша система требует PKCS#11, то можно использовать наш модуль, но для базовых задач это чаще всего избыточно.


Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU?

Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)?


Лично мне нужна работа с OpenSSH через OpenSC-PKCS11 и с cryptcp предположительно через КриптоПРО 5 (который далее уже работает через без разницы что).
Cryptcp и OpenSSH будут работать с Рутокен ЭЦП2 через SafeTouch PRO?

А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Отредактировано пользователем 22 июля 2020 г. 9:24:19(UTC)  | Причина: Не указана

Offline sanyo  
#6 Оставлено : 22 июля 2020 г. 9:25:05(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
В документации тоже упоминается наличие считывателя:

https://developer.aladdi...escription/terminal.html

Цитата:
Состав устройства

Терминал снабжён:

Четырёхстрочным матричным дисплеем, позволяющим отобразить (с учетом прокрутки) до 400 символов
Встроенной цифровой клавиатурой с кнопками OK (кнопка подтверждения), C (кнопка отмены) и кнопками прокрутки отображаемых данных
Слотом для ISO-7816 совместимой смарт-карты, которая может быть использована в качестве средства ЭП
Встроенным криптографическим чипом AT90SC25672RCT с функционирующим в его составе СКЗИ “Криптотокен”, в котором реализована российская криптография
Кабелем для подключения к порту USB.



https://developer.aladdi....0/description/sign.html

Цитата:
Поддерживаемые типы средств ЭП

На платформе Microsoft Windows в качестве средства ЭП могут быть использованы:

USB-токены (рекомендуются JaCarta-2 ГОСТ или JaCarta ГОСТ);
Смарт-карты ISO 7816 (рекомендуются JaCarta-2 ГОСТ или JaCarta ГОСТ).

Отредактировано пользователем 22 июля 2020 г. 9:25:39(UTC)  | Причина: Не указана

Offline sanyo  
#7 Оставлено : 22 июля 2020 г. 9:30:12(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы, особенно со стороны софта. Поддержка Аладдина "осчастливила", что их терминал совместим только с их картами, а про совместимый софт и вовсе ничего.

CryptoStore и Secure-Market тоже не в курсе, несмотря на то, что у них есть в наличии на сайте считыватели с SPE (Secure PIN Entry) пинпадами, но эти считыватели даже не подходят для ГОСТовых смарткарт, а для каких смарт карт подходят - тоже неизвестно.

На вопрос есть ли смарткарты с авторизацией кнопкой типа Rutoken ECP2 Touch получаю сначала ответ на форуме Рутокена, что такого не бывает.

Однако уже через неделю удается накопать инфу по заветному SafeTouch PRO, благодаря их же форуму Рутокен. Получается, что такое все таки возможно, но почему это пришлось выпрашивать и выспрашивать с пристрастием?

Многое приходится пробивать самостоятельно, время ответа на каждый вопрос бывает измеряется несколькими днями.

Итого в сумме я уже ЦЕЛЫЙ МЕСЯЦ интересуюсь различными аспектами получения сертификата ЭЦП на аппаратном крипто, защитой его от несанкционированного использования,
а УЦ даже боятся дать гарантии, что смогут сделать такой сертификат кроме ЕГАИС для алкашей.

Почему нельзя "одним кликом" за пару минут получить сертификат физ. лица с неизвлекаемым ключом по PKCS 11 и чтобы был автоматически предложен вариант добавить в заказ смарткарту с сертификатом ФСБ и терминал SafeTouch PRO. Почему нужно тратить месяц?
Если было бы пару минут, то это был бы прорыв :) Но уже месяц на раскачку, а воз и ныне там.

При этом SafeTouch героически производит свой малопопулярный продукт, о существовании которого мало кто догадывается акромя банкиров, а у обычных пользователей тем временем почти ноль шансов найти решение для защиты дополнительной кнопкой от несанкционированных транзакций через смарткарты в КриптоАРМ из-за его необычности, незнания о нем поддержки (вероятно даже в trusted.ru), отсутствия инфы на сайтеках мракетологов, далеко не у каждого есть месяц времени на поиски, да еще и УЖЕ с базовыми знаниями по настройке криптософта до начала этого квеста.

А уж чтобы разработчики КриптоАРМ сами еще лет 5 назад бы интегрировали (отображение подписываемого документа на дисплее терминала) свой КриптоАРМ с SafeTouch и АнтифродТерминалом Аладдина и разместили бы у себя ссылки на УЦ, которые делают сертификаты для ключей PKCS 11 - это и вовсе фантастика.

По сути то ведь на данный момент, несмотря на предположительные отличия совместимости терминалов с КриптоПРО, оба терминала - SafeTouch и Аладдин ведь нацелены на один и тот же сектор рынка - защиты ДБО юридических лиц.

Отредактировано пользователем 22 июля 2020 г. 11:38:19(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#8 Оставлено : 22 июля 2020 г. 11:42:43(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 591
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 110 раз в 97 постах
Цитата:
Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU?

CSP скармливает в SafeTouch напрямую через APDU-команды подписываемый документ. Когда железка понимает, что ей передали (распарсила), выводит на экран выжимку из документа и просит подтвердить. Затем, когда CSP шлет на токен хэш для подписи, команда перехватывается (устройство знает APDU для подписи на Рутокен) и анализируется: если хэш совпал с тем, что был ранее подтвержден, то всё ок. Если нет, то пользователю говорят, что подписывается что-то нераспознаенное.

Цитата:
Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)?

Нет. CSP работает со всеми носителями напрямую через APDU.

Цитата:
Лично мне нужна работа с OpenSSH через OpenSC-PKCS11 и с cryptcp предположительно через КриптоПРО 5 (который далее уже работает через без разницы что).
Cryptcp и OpenSSH будут работать с Рутокен ЭЦП2 через SafeTouch PRO?

cryptcp работать будет. SafeTouch уверенно распознает запросы на сертификат и PKCS#7-подписи. Насчет OpenSSH гарантии не дам, но проблемы быть не должно.

Цитата:
А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Напишите в SafeTech, может, подскажут. Вообще, эта железка специально для банков (скорее всего, прямо конкретных) и умеет распознавать считанное число форматов. Не нужно рассчитывать, что при подписи, например, pdf она что-то покажет кроме "подписывается непонятно что". А если вас устроит и такая операция аппаратного подтверждения, то токены с кнопкой не сильно хуже.

Цитата:
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы.

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 22.07.2020(UTC)
Offline sanyo  
#9 Оставлено : 22 июля 2020 г. 11:55:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Цитата:
А кроме банков где-то можно прикупить современную версию SafeTouch PRO? Старую версию не PRO достаточно легко найти в продаже на вторичке.

Напишите в SafeTech, может, подскажут. Вообще, эта железка специально для банков (скорее всего, прямо конкретных) и умеет распознавать считанное число форматов. Не нужно рассчитывать, что при подписи, например, pdf она что-то покажет кроме "подписывается непонятно что". А если вас устроит и такая операция аппаратного подтверждения, то токены с кнопкой не сильно хуже.

Мне попался предположительно проблемный токен Rutoken ECP2 Touch:
http://forum.rutoken.ru/post/14449/#p14449
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Автор: Агафьин Сергей Перейти к цитате

Цитата:
Не пойму, почему все так запутанно и неочевидно, поддержка даже производителей-перепродавцов терминалов типа Аладдин часто сама не знает сначала о их существовании, а потом с чем они совместимы.

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.


При отсутствии предложения, спрос тоже не появится :)
С моей точки зрения Safetouch PRO могли бы хотя бы поделить рыночную нишу с Rutoken ECP2 Touch.
Конуренция важна для достижения успеха, при избытке ресурсов и мотивации развитие застопорится, впрочем при недостатке ресурсов тоже.

Почему бы не попытаться интегрировать программы подписания документов (в т.ч. и в системах документооборота) с отображением на дисплее SafeTouch на уровне КриптоПРО CSP, а не на уровне каждой отдельно взятой программы типа CryptCP, КриптоАРМ, Диадок (CSP Browser Plugin) и т.п., которых много хороших и разных? И такая фича возможно была бы вам бы дополнительным преимуществом над конкурентами.

А комплект КриптоТРИ 2.0 из КриптоПРО, сертификата ключа вашего УЦ на аппаратном крипто и SafeTouch PRO был бы поистине уникальным :)

Отредактировано пользователем 25 июля 2020 г. 0:38:57(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#10 Оставлено : 22 июля 2020 г. 12:35:38(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 591
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 110 раз в 97 постах
Автор: sanyo Перейти к цитате
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara

Неизвлекаемые ключи на Ангаре мы не поддерживаем. Мы давно предлагаем Мультисофту, но пока результата нет.
Автор: sanyo Перейти к цитате
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.

В целом, да. Я знаю два: Рутокен Touch и Инфокрипт VPN-Key-TLS.
Автор: sanyo Перейти к цитате
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Если он знает их APDU-формат, то вполне может. Правда, если я правильно помню, хэшировать он умеет только по ГОСТ-ами и SHA1.

Цитата:
При отсутствии предложения, спрос тоже не появится :) Вот лично мне сейчас негде купить Safetouch PRO, только старые модели на барахолках.
С моей точки зрения Safetouch PRO могли бы хотя бы поделить рыночную нишу с Rutoken ECP2 Touch.

У меня есть большие сомнения по поводу размера этой ниши.

Цитата:
Почему бы не попытаться интегрировать системы документооборота с отображением на дисплее SafeTouch на уровне КриптоПРО CSP, а не на уровне КриптоАРМ, Диадок и т.п.?

Это вопрос к разработчикам ЭДО. Если речь о подписи простых документов, то она есть в "Инструментах КриптоПро", где всё отлично работает с SafeTouch.

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 22.07.2020(UTC)
Offline sanyo  
#11 Оставлено : 22 июля 2020 г. 12:53:33(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Кроме того я надеюсь, что через SafeTouch будут работать и зарубежные смарт карты, особенно интересны с интерфейсом OpenPGP card и поддержкой RSA ключей длиной до 4096 и более (если бывают).

Если он знает их APDU-формат, то вполне может. Правда, если я правильно помню, хэшировать он умеет только по ГОСТ-ами и SHA1.


Возможность хэширования ведь влияет наверно только на теоретическую возможность работоспособности сверки с дисплеем в случае интеграции, а если нужна только кнопка авторизации "в слепую", то хэширование внутри SafeTouch без разницы?

Отредактировано пользователем 22 июля 2020 г. 12:54:42(UTC)  | Причина: Не указана

Offline sanyo  
#12 Оставлено : 22 июля 2020 г. 12:56:35(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате
Автор: sanyo Перейти к цитате
Хотелось бы попробовать смарткарту, она дешевле в 2 раза и кроме того можно и попробовать смарткарты других производителей, например, типа Ангара:
https://multisoft.ru/zas...rt-karty-ms-key-k-angara

Неизвлекаемые ключи на Ангаре мы не поддерживаем. Мы давно предлагаем Мультисофту, но пока результата нет.


У Мультисофта вроде бы есть библиотека PKCS11 для Ангары, наверно ее можно задействовать хотя бы для Stunnel и OpenVPN?
Offline sanyo  
#13 Оставлено : 22 июля 2020 г. 12:58:19(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Автор: sanyo Перейти к цитате
Мало кто производит токены со встроенным крипто, и чтобы на них при этом была кнопка авторизациии.

В целом, да. Я знаю два: Рутокен Touch и Инфокрипт VPN-Key-TLS.


Пожалуйста, напомните, где можно посмотреть список совместимых с КриптоПРО CSP 5 аппаратных токенов?

Есть ли среди них такие, которые имеют на борту алгоритмы RSA 4096 и Linux драйвера для интерфейса PKCS11?

Есть ли надежные софтовые шифры по ГОСТу, совместимые с популярными софтовыми туннелями типа OpenVPN, STunnel и т.п.?
Чтобы аутентификация при подключении происходила на аппаратных смарткартах, потом бы вырабатывался симметричный сессионный ключ длиной хотябы от 256 бит и более и шифрование трафика происходило бы софтово на CPU.

Отредактировано пользователем 22 июля 2020 г. 13:03:19(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#14 Оставлено : 22 июля 2020 г. 13:50:12(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 591
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 110 раз в 97 постах
Цитата:
Возможность хэширования ведь влияет наверно только на теоретическую возможность работоспособности сверки с дисплеем в случае интеграции, а если нужна только кнопка авторизации "в слепую", то хэширование внутри SafeTouch без разницы?

Должно быть без разницы. Вот Рутокен ПинПад, если что-то не смог распознать, не дает подписать.
Цитата:
У Мультисофта вроде бы есть библиотека PKCS11 для Ангары, наверно ее можно задействовать хотя бы для Stunnel и OpenVPN?

Наверное. Можете у них уточнить.
Цитата:
Пожалуйста, напомните, где можно посмотреть список совместимых с КриптоПРО CSP 5 аппаратных токенов?

В Формуляре или тут: https://www.cryptopro.ru/products/cryptopro-csp
Цитата:
Есть ли среди них такие, которые имеют на борту алгоритмы RSA 4096 и Linux драйвера для интерфейса PKCS11?

Аппаратный RSA мы не поддерживаем. Есть смутные крайне низкоприоритетные идеи поддержать RSA на Рутокенах, но там, вроде, ключ только 1024.
Про PKCS11 спрашивайте у разработчиков карт. Этот интерфейс работает параллельно с CSP, так что нас интересует мало.
Цитата:
Есть ли надежные софтовые шифры по ГОСТу, совместимые с популярными софтовыми туннелями типа OpenVPN, STunnel и т.п.?
Чтобы аутентификация при подключении происходила на аппаратных смарткартах, потом бы вырабатывался симметричный сессионный ключ длиной хотябы от 256 бит и более и шифрование трафика происходило бы софтово на CPU.

Я не знаю. Может, кто-то из коллег подскажет.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Агафьин Сергей за этот пост.
sanyo оставлено 22.07.2020(UTC)
Offline sanyo  
#15 Оставлено : 22 июля 2020 г. 21:23:13(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
.

Отредактировано пользователем 23 июля 2020 г. 10:42:44(UTC)  | Причина: Не указана

Offline sanyo  
#16 Оставлено : 22 июля 2020 г. 21:23:52(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате

Нет спроса - нет предложения. 99% пользователей устраивают самые дешевые простые пассивные токены. Ради оставшегося 1% довольно сложно найти мотивацию разрабатывать и поддерживать аппаратные решения. Вы еще учтите, что компании-разработчики (что мы, что Аладдин, что Актив) - довольно небольшие организации, которым приходится жестко управлять своими ресурсами.


Во время обсуждения не раз у меня возникал вопрос, почему люди так тщательно пытаются защититься от несанкционированных банковских транзакций, например платежек на несколько тысяч рублей каждая, и совсем не пытаются защититься от несанкционированных подписаний документов, например, несанкционированного создания долговых обязательств или каких-либо инструкций третьим лицам от них на несколько миллионов рублей. Brick wall

Экономика должна быть экономной, ведь SafeTouch PRO стоит цельных 3 тыс. руб.! Shame on you Applause

А час работы юриста и детектива по попытке вернуть все в зад наверно от 3 до 30 тыс. руб. Dancing

Сколько часов, дней, недель работы на это нужно ?!? Не позволим экономике стагнировать, создадим искусственные проблемы сами себе своей беспечностью.

Отредактировано пользователем 23 июля 2020 г. 10:43:23(UTC)  | Причина: Не указана

Offline sanyo  
#17 Оставлено : 26 июля 2020 г. 9:05:25(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Автор: Агафьин Сергей Перейти к цитате
Цитата:
Смутно представляю себе принцип работы SafeTouch. Наверно, он работает на каком-то низкоуровневом протоколе смарткарты типа PC/SC ADPU в качестве анализатора и файрвола такого протокола?
А PKCS 11, наверно, использует для передачи своих команд (неявно на одном из уровней ниже) ADPU?

CSP скармливает в SafeTouch напрямую через APDU-команды подписываемый документ. Когда железка понимает, что ей передали (распарсила), выводит на экран выжимку из документа и просит подтвердить. Затем, когда CSP шлет на токен хэш для подписи, команда перехватывается (устройство знает APDU для подписи на Рутокен) и анализируется: если хэш совпал с тем, что был ранее подтвержден, то всё ок. Если нет, то пользователю говорят, что подписывается что-то нераспознаенное.

Цитата:
Разве КриптоПРО 5 CSP работает с Рутокен ЭЦП2 не через PKCS11 (предположительно поверх ADPU)?

Нет. CSP работает со всеми носителями напрямую через APDU.


Сергей, тогда, пожалуйста, объясните, зачем КриптоПРО (причем необязательно пятый, можно четвертый) нужен в следующей цепочке API для работы Диадок (по словам их поддержки):

Цитата:

Используется плагин, все верно. Во вложении пример установки плагина на Chromium. Можно загрузить на все системы Linux, что были описаны ранее.
На счет https://devuan.org/ - эксперт установил, все работает. Раз на ней работает, то и на более свежей версии 3.0 тоже будет работать. Несколько моментов:
В инструкциях устарела ссылка на Плагин. Там https://h.kontur.ru/plugin/linux , а актуальная https://h.kontur.ru/plugin/beta
Для работы смарт-карт:
1) Надо установить необходимые пакеты через терминал командой sudo apt-get install libccid pcscd libpcsclite1 pcsc-tools
2)Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
Плагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить. Подойдёте и КриптоПро 4. КриптоПро CSP 5.0 и выше нужен для работы носителей Etoken и Jacarta.


Раз требуется установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
то PKCS 11 используется в Диадок? пусть неявно, если верить следующему:

Цитата:
Для работы аппаратного токена необходимо установить PKCS#11 библиотеку по ссылке https://www.rutoken.ru/s...ort/download/pkcs/#linux
Плагин пока не умеет работать напрямую с этой библиотекой, есть прямая зависимость от КриптоПро, поэтому ее тоже надо установить.

Но по вашим словам КриптоПро не использует PKCS11? С моей точки зрения, получается какое-то логическое противоречие между вашими словами и поддержкой Диадок?

Может быть КриптоПро используется для какой-то инициализации, а потом все же плагином используется PKCS11?

Меня смущает то, что я планирую получить в УЦ сертификат для ключа на аппаратном крипто PKCS11, но если в Диадок нужен КриптоПро даже для неизвлекаемых ключей, а КриптоПро (даже КриптоПро v5 для работы с аппаратным крипто) по вашим словам не использует PKCS11, а использует низкоуровневый протокол APDU, то в каком формате должны быть ключи, чтобы они были совместимы одновременно с Диадок, с КриптоПро 4/5, с аппаратным крипто Рутокен ЭЦП 2.0, с PKCS11 и APDU? Такое вообще возможно?

Протокол PKCS11 вообще подразумевает какой-то свой некий формат хранения закрытых ключей?

КриптоПро5 через APDU может работать самостоятельно с таким форматов ключей PKCS11 на аппаратном крипто? Он будет подстраиваться под формат ключей PKCS11 на файловой системе токена?
PKCS11 ведь тоже работает через APDU? Тогда возможно КриптоПро5 содержит внутри себя свою собственную реализацию PKCS11, но использует ее только самостоятельно без экспортирования этого интерфейса наружу за пределы КриптоПро для других программ?

Сертификат мне собираются выпустить следующим образом:

Цитата:
Вам требуется сертификат с аппаратной криптографией.
Обратите внимание, что такой сертификат можно выпустить только на физическое лицо, без включения в сертификат дополнительных областей применения, и мы не можем гарантировать, что такой сертификат будет приниматься во всех нужных вам системах.
Список порталов, которые поддерживают подобный режим работы : https://www.nalog.ru/ , https://www.gosuslugi.ru/ , https://bankrot.fedresurs.ru/ .
Такие сертификаты можно выпустить в рамках тарифа Электронная подпись для физлиц: https://ca.kontur.ru/certificate/51 . Обратите внимание, что если у вас нет носителя Рутокен ЭЦП 2.0, то его можно приобрести отдельно также в нашем сервисном центре.
Чтобы получить электронную подпись, сообщите ИНН, город и регион, где вы находитесь, и номер телефона для связи с вами. Наши сотрудники свяжутся с вами в течение 3-х рабочих часов.
Либо вы можете оставить заявку на указанном сайте, для этого нажмите на кнопку «Перейти к оформлению», отметьте дополнительные услуги по необходимости и заполните предложенную форму. Мы свяжемся с вами в течение рабочего дня.
После оплаты счёта на выпуск сертификата и создания формы, чтобы была возможность выпустить сертификат на аппаратном СКЗИ Рутокена, обратитесь в службу нашей технической поддержки в формате ответного письма или любым другим удобным способом, мы передадим информацию нашим экспертам для внесения изменений в тип криптопровайдера в вашей форме.


Я почему-то не уверен, не будут ли конфликтовать между собой библиотека Rutoken PKCS11 и прямой доступ к тем же данным через КриптоПро APDU, пожалуйста, развейте мои сомнения.

Вот нашел еще немного про интерфейсы смарт карт:
https://security.stackex...omputer-interoperability

Мнение поддержки из Аладдин:

Цитата:
КриптоАРМ Плюс работает и PKI и с ГОСТ. А вот Диадок и МИГ24 вероятнее всего используют КриптоПро CSP. В случае если там поддерживается КриптоПро CSP 5.0, могут применяться в том числе неизвлекаемые ГОСТ-ключи.
К сожалению, формат работы КриптоПро CSP 5.0 с неизвлекаемыми ключами несовместим с pkcs#11.
Для контроля транзакций рекомендуем посмотреть SafeToch PRO, он поддерживает JaCarta-2 ГОСТ.


Все таки непонятно, для чего Диадоку нужен КриптоПро? Однако упоминание того, что для Диадок достаточно КриптоПро4 даже в случае, когда используются неизвлекаемые ключи, намекает на то, что КриптоПро сам не используется непосредственно для работы с ключами, потому что неизвлекаемые ключи поддерживает только КриптоПро 5?

Тогда возникает еще один вопрос, существуют ли УЦ, которые могут выдать сертификат неизвлекаемого ключа, сгенерированного с помощью КриптоПро 5?
Например, СКБ Контур может выдать сертификат как извлекаемого ключа на Rutoken S, так и для неизвлекаемого ключа в формате PKCS11 внутри Рутокен ЭЦП 2.0, а может ли СКБ Контур создать сертификат неизвлекаемого ключа для КриптоПро 5, который якобы несовместим с PKCS11 по словам поддержки Аладдин? Будет ли такой ключ работать в Диадок?

И наверно, есть вероятность, что такой неизвлекаемый ключ для КриптоПро5 будет работать в КриптоАрм стандарт (не плюс)?

Отредактировано пользователем 27 июля 2020 г. 4:04:12(UTC)  | Причина: Не указана

Offline sanyo  
#18 Оставлено : 27 июля 2020 г. 5:13:11(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Offline sanyo  
#19 Оставлено : 27 июля 2020 г. 7:28:31(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
По словам УЦ НТС Софт они делают только сертификаты для неизвлекаемых ключей только типа PKCS 11 и МИГ 24 работает именно с ними.

А сертификаты для неизвлекаемого ключа, сгенерированного КриптоПро5, они никогда не делали и не хотят даже пытаться.

Зачем тогда вообще нужен формат неизвлекаемых ключей КриптоПро 5?
Для неизвлекаемых ключей в формате КриптоПро 5 вообще сертификаты выпускает хоть один УЦ?

Для PKCS11 то и то мало кто выпускает, а с КриптоПро5 наверно вообще глухо?

Отредактировано пользователем 27 июля 2020 г. 8:17:20(UTC)  | Причина: Не указана

Offline sanyo  
#20 Оставлено : 27 июля 2020 г. 8:18:10(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 83
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 10 раз
Еще вопрос, как временный вариант такое будет работать?

Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.
Подключить его через SoftTouch PRO к КриптоАРМ стандарт.

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Можно ли настроить КриптоПро CSP, чтобы он не кэшировал такой ключ в оперативке, а каждый раз подгружал его с токена, чтобы нужно было нажатие кнопки авторизации на считывателе SoftTouch PRO?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.